00:00:07 シャドーITとその影響。
00:00:34 現代企業におけるシャドーITの概念。
00:02:30 各部門におけるシャドーITの普及。
00:04:42 組織内でシャドーITが出現する理由。
00:07:09 シャドーITに対する経営陣の認識と潜在的な結果。
00:09:33 効率性やデータセキュリティリスクを含む、シャドーITの長所と短所。
00:11:17 シャドーITがデータセキュリティに与える影響と実例。
00:13:15 シャドーITの防止に関する経営陣の見解と可能な解決策。
00:15:25 シャドーITの持続性とその背後にある推進力。
00:16:42 シャドーITの方向性を管理しながら情熱を奨励する。
00:17:01 重大な失敗とセキュリティリスクの回避。
00:18:06 結論。
概要
キーレン・チャンドラーとのインタビューで、Lokadの創設者ジョアネス・ヴェルモレルは、企業システムの穴を埋めるために従業員が無許可でテクノロジーを使用する現象であるシャドーITについて議論します。ヴェルモレルは、企業がシャドーITの不可避性を認め、効果的に管理すべきだと主張します。彼は、シャドーITを排除すると従業員のモチベーションが低下し、革新的な解決策が妨げられる可能性があるため、排除を避けるべきだと助言します。代わりに、組織は従業員がシャドーITの取り組みを公表して適切に管理・監視されるよう奨励すべきです。ヴェルモレルは、セキュリティの維持と敏感な顧客データの漏洩などの重大なエラーの回避の重要性を強調します。シャドーITを受け入れ監督することで、企業は大きなミスを防ぎ、セキュリティを確保し、従業員の革新性と問題解決能力を促進できるのです。
詳細な概要
このインタビューで、キーレン・チャンドラーとLokadの創設者ジョアネス・ヴェルモレルは、シャドーITの概念、企業におけるその普及、そしてそれがもたらす課題について議論します。シャドーITとは、しばしば従業員がより効率的に働こうとして、経営陣の明確な承認を得ずに導入されるITシステムを指します。これらのシステムは維持が難しく、データセキュリティに脅威を与える可能性があります。
ヴェルモレルは、現代の企業は非常に複雑であるため、エンタープライズソフトウェアやERP、さらにはCRMシステムですら企業のすべての複雑さを包含しているわけではないと説明します。このため、既存のシステムが従業員のニーズを満たさなかったり、急速に進化するテクノロジーが企業のIT部門を追い越す状況で、運用上のギャップが生じます。その結果、これらのギャップを埋めるために、シャドーITと呼ばれる並行システムが出現するのです。
興味深いことに、シャドーITは必ずしも経営陣の承認なしに展開されるわけではありません。ヴェルモレルは、供給チェーン管理の現場で、マネージャーが自らのシャドーシステムを展開するのを目にした経験を共有します。このような場合、シャドーITはIT部門以外のスタッフによって管理されます。
シャドーITは供給チェーン管理に限定されるものではなく、マーケティングや財務など、さまざまな部門で見られます。しかし、サプライチェーンはその複雑な性質ゆえに、数多くの現実的な偶発事態に対処しなければならないため、シャドーITが発生しやすい主要な分野となっています。例えば、企業は浸水した倉庫や、供給業者からの通常とは異なる最低発注量(MOQ)、業界固有の互換性問題などの予期せぬ状況に直面することがあり、これらは標準システムで容易に対応できるものではありません。
通常、シャドーITシステムは、ExcelのスプレッドシートとMicrosoft Accessのデータベースで構成され、これらはこれらの特有のシナリオに対処するために使用されます。
彼らは、企業におけるシャドーITの存在と、それが効率性やデータ管理に与える影響について議論しました。また、シャドーITが持続する理由と、それがビジネスに及ぼす影響についても検討しました。
ヴェルモレルは、シャドーITが広まる一因は現実の複雑さにあると説明します。これにより、IT部門が従業員のニーズに追いつくのが困難になるのです。企業はITに多額の投資をしますが、しばしば自社のエンタープライズリソースプランニング(ERP)システムがニーズの全容を捉えきれていないことに気づき、その結果、従業員はギャップを埋めるために「シャドーIT」や非公式のシステム・プロセスに頼るようになります。
これらの企業の経営陣は、従業員が社内規定により回避策を秘密にしているため、必ずしもシャドーITの存在に気づいているわけではありません。ヴェルモレルは、あるサプライチェーン部門のディレクターが、供給業者に関する情報を保管するために自作のAccessデータベースを構築した逸話を共有します。このデータベースは社内規定に反していましたが、ディレクターはそれを有用だと判断し、ひそかに利用していました。その後、別の従業員も上司の知らない間に同様のデータベースを構築し、結果として企業内の複数の経営レベルでシャドーITが存在する状況となりました。
チャンドラーは、シャドーITが従業員をより効率的にしているように見えることから、必ずしも問題であるとは限らないのではないかと疑問を呈します。ヴェルモレルは、シャドーITは一長一短であると答え、一方ではその存在が従業員が仕事を大切にし、業績向上に努めていることの表れであると述べています。
彼らは、既存のツールがニーズを満たさない場合に、従業員が未承認のソフトウェアツールを使用して独自の解決策を作成する、いわゆる「シャドーIT」の問題について議論します。ヴェルモレルは、シャドーITが従業員のコミットメント、創造性、そして意欲の表れであると考える一方で、それが引き起こす問題も認識していると述べています。
シャドーITは、作業の重複、ソリューションのスケーリングや保守の困難、そしてデータセキュリティ上の懸念を引き起こす可能性があります。ヴェルモレルは、これを技術的かつ組織的な負債に例え、これらのアドホックなシステムを主流のITインフラに統合することで返済すべきものだと述べています。
シャドウITでは、従業員が個人のデバイスに機密情報を保存したり、非公式な方法でデータを統合したりする可能性があるため、データセキュリティが大きな懸念事項となります。ヴェルモレルは、英国の銀行で従業員が何百万件もの顧客記録を個人のハードドライブに保存したためにデータ漏洩が発生したという最近の例を引用しています。彼は、このような慣行が広まれば、データ侵害は避けられないと主張しています。
ヴェルモレルは、企業がカスタマイズの必要性とコントロールの必要性のバランスを提供するプログラム的なソリューションを採用することで、シャドウITのリスクを軽減できると提案しています。例えば、Lokadは、サプライチェーンの実務者が制御された環境内でレポートやロジックを作成するためにカスタムスクリプトを書くことができるプログラム的プラットフォームです。このアプローチにより、従業員は未承認のツールに頼ることなく、自身の特定のニーズに対処することが可能になります。
SAPやOracleなどの他の企業も同様のプログラム的機能を提供しています。これらのプラットフォームを採用することで、組織は従業員に対して独自のニーズを満たす方法を提供しながら、データセキュリティやソフトウェア保守のコントロールを維持できます。これにより、シャドウITの拡大とその関連リスクを防ぐことが可能となります。
ヴェルモレルは、シャドウITを排除するための魔女狩りを行うべきではないと助言しています。なぜなら、それはスタッフの士気を低下させ、従業員の熱意や革新的な解決策から生じる可能性のある恩恵を組織が失う結果につながるからです。彼は、組織が従業員にシャドウITの取り組みを明るみに出すことを奨励し、その活動を監視・管理するべきだと示唆しています。
ヴェルモレルが強調する重要な側面の一つは、セキュリティ維持と、従業員のラップトップに機密の顧客データを暗号化せずに残しておくなどの重大なミスを避けることの重要性です。これを実現するため、彼は組織がシャドウITの取り組みを、組織のIT部門による監督下で許容すべきだと提案しています。これにより、企業は大きなエラーを防ぎ、内部技術環境のコントロールを維持しつつ、従業員の革新と問題解決能力を促進することができます。
ジョアネス・ヴェルモレルは、組織がシャドウITの必然性を受け入れ、その効果的な管理に集中すべきだと推奨しています。その存在を認め、適切な監視を行うことで、企業は重大なミスを防ぎ、セキュリティを維持し、従業員の創造性と問題解決能力から利益を得ることができます。
フルトランスクリプト
キアラン・チャンドラー: 今日は、なぜこれらのシステムが導入されるのか、そして経営陣がどのようにしてそれらが組織に脅威とならないよう対策できるのかを正確に理解していきます。では、ジョアネス、シャドウITとは一体何なのか、もう少し詳しく教えていただけますか。
ジョアネス・ヴェルモレル: そうですね、現代の企業は非常に複雑です。エンタープライズソフトウェア、例えばERPやCRMも同様に複雑ですが、ビジネスの細部まで網羅しているわけではありません。ですので、メインのコンピューターシステムは多くのことを処理していても、全てをカバーしているわけではありません。その結果、既存のシステムが求める機能を果たせない運用上のギャップが生じるのです。時には、スマートフォンの登場などにより技術が急速に進化し、新たなニーズが生まれるため、社内ITはすべきことに追いつけなくなります。その結果、計画的に構築されたものではなく、「シャドウIT」と呼ばれる並行システムが生まれるのです。
また、私のサプライチェーンの経験から興味深いのは、一般に定義されるシャドウITが、必ずしも経営陣の承認なしに展開されるものだけには限らないという点です。サプライチェーン管理自体が独自のシャドウシステムを導入している企業を多く見てきました。通常、シャドウITはIT部門が展開するシステムに対抗する形で現れ、時には経営陣の手によって運営されることもありますが、それはITディレクターの管理下にはありません。
キアラン・チャンドラー: つまり、これらは基本的に人々が回避策として、またはより効率的に働くために自作しているシステムということですね。これはサプライチェーンの問題に限ったことなのでしょうか、それとも全社的な問題なのでしょうか。
ジョアネス・ヴェルモレル: 部門ごとに多少のシャドウITは存在していると思います。たとえば、コントローリングやマーケティングなど、CRMの設定状況に依存するところです。しかし、特にサプライチェーンはシャドウITの主要な候補だと考えています。現実は非常に複雑で、サプライチェーンは偶発的な実世界の事象に対応するものです。洪水に見舞われた倉庫といった奇妙な状況に直面するクライアントもいます。システム上に「私の倉庫は洪水です」とチェックを入れる項目はありますか? ないかもしれません。例えば、サプライヤーから、色ごとにメートル単位で布地が表現されるという奇妙な MOQ を受け取ることもあります。あるいは、MOQが単位やインチで表され、布地のメートル数ではないケースもあります。航空宇宙業界では、非常に特定的でどのシステムにも収まらない一方通行の互換性といった、奇妙な事例も存在します。
つまり、現実には終わりのない奇妙な事象が連続しており、人々はその対応策として、Excelシートの森や時にはMicrosoft Accessのデータベース数個に頼るシャドウITシステムを構築するのです。
キアラン・チャンドラー: なるほど、現状のシステムでは対処できないシナリオに直面するため、こうした問題が実際に発生するわけですね。そういうことなのでしょうか。
ジョアネス・ヴェルモレル: その通りです。加えて、単に物事を記録するという非常に平凡なニーズが原因となる場合もあります。たとえば、メートル単位で表されたMOQを持つ500社のサプライヤーをどのように管理するか、という問題です。
キアラン・チャンドラー: では、ジョアネス、あなたはビジネスの布の数量をどこに記録しているのですか?
ジョアネス・ヴェルモレル: 私は500件の布の数量を記録する必要があります。そのため、データを保存するためのExcelシートを作成します。平凡な作業ですが、後で必要になったときにデータを取り出せるよう、どこかに保存しておく必要があるのです。サプライヤーに注文を伝える際にこの情報が必要となります。
キアラン・チャンドラー: 大規模なIT部門を持つ企業で、こんなに単純なことが見落とされるのは奇妙ですね。どうお考えですか?
ジョアネス・ヴェルモレル: ええ、驚くべきことです。企業はITに非常に多額の投資をしており、その重要性は言うまでもありません。しかし、IT部門はしばしばビジネスのニーズに追いついていません。複雑さという現実が見過ごされがちなのです。ソフトウェアは現実を反映すべきですが、それは非常に困難です。私たちの多くのクライアントは、数千ものテーブルを持つERPを運用していますが、実際に必要な機能はその半分に過ぎません。さらに、ニーズは常に変化しており、それが困難さを増しています。
キアラン・チャンドラー: 確かに複雑な状況ですね。すべての産業の複雑さを捉えようとするACPのような企業はどうなのでしょうか。
ジョアネス・ヴェルモレル: IT業界から数十年にわたる大規模な投資があったにもかかわらず、依然として無限のギャップが存在しています。シャドウITは常に存在しているのです。
キアラン・チャンドラー: 経営陣はこれらの回避策を把握しているのでしょうか、それとも裏でひそかに進行しているのでしょうか。
Joannes Vermorel: 数年前、サプライチェーンのディレクターとこの話をしていたのを覚えています。彼は、他のどのシステムにも存在しないサプライヤーに関する情報を持っていました。データの出所を尋ねると、彼は自分のAccessデータベースを見せてくれました。彼はそれを巧妙にセットアップしていましたが、企業の方針に反していました。彼はそのデータを自分だけのものにしていました。その後、彼のデータベースに含まれていなかったサプライヤーがいることが判明しましたが、情報自体は存在していました。このディレクターの下で働く人物に尋ねると、彼は自分のAccessデータベースを構築しており、上司はその存在を知らなかったと言いました。つまり、シャドーITの中にさらにシャドーITがあったのです。どれほど蔓延し、再帰的であるかを実感して、面白いと感じました。
Kieran Chandler: これは作業の重複のように見えますが、それは問題なのでしょうか?
Joannes Vermorel: シャドーITは両刃の剣です。シャドーITが存在するという事実自体、人々が自分の仕事を大切にし、物事をより良くしようとしていることの証です。
Kieran Chandler: 人々はどんな手段を使ってでもより効率的になりたいと考えています。そして適切なツールがなければ、自分たちでツールを作るでしょう。それは、人々が献身的で意欲的、そして想像力豊かであるというサインだと思います。つまり、全て非常に前向きな特質です。現実に起こっている現象です。実際、私たちが関わっている多くの、利益を上げ急成長している企業は、安定性に対するこのような欲求を持っています。だから、決してそれが悪いことだとは言い切れません。
Joannes Vermorel: 問題は、結果として多くの作業が重複し、スケールが悪く、ほとんど維持管理できず、データセキュリティの面でも小さな悪夢となることです。多くの問題が潜んでいます。私の見方では、これは企業が自らに対して抱える技術的負債のようなものであり、組織的な負債でもあります。これらのシステムが企業の業務を支えている以上、今後数十年にわたってスムーズに維持・管理できるように、これらの知見やプロセスを本流のITに適切に統合することで、返済しなければならない負債があるのです。
Kieran Chandler: データセキュリティの話でしたが、これらのツールは企業全体にどのような影響を及ぼすのでしょうか?ニュースで見たのですが、恐らく数週間前、イギリスの銀行で、一人の従業員が何百万もの顧客データを自分の個人用ハードドライブに保存していたために情報漏洩が発生したというケースがありました。
Joannes Vermorel: 一人の従業員が、何百万もの顧客を含む大規模なデータベースのコピーを自分のコンピューターに持っているという事実自体が、災害を引き起こす温床です。一度やって運が良ければ大惨事には至らないかもしれませんが、これが常習化すれば、時間が経つにつれて災害が発生する確率はほぼ1に近づきます。つまり、必ず起こるのです。人々がまとまった規模のデータベースを統合し始め、それを自作のExcelやMicrosoft Accessのデータベースなど非常に非公式な方法で行うと、情報漏洩は必ず発生します。もしそれがサプライヤーのデータベースやSKUであれば、大した問題ではありません。仮にそれらが漏洩しても、個人情報ではなく、極めて機密性の高いデータでもないため、影響は限定的です。もちろん、交渉内容の一部が漏れることで一部のサプライヤーを多少苛立たせることはあるかもしれませんが、全体としては小さな問題に過ぎません。しかし、顧客のデータベースが対象となると、状況は非常に悪化します。
Kieran Chandler: では、経営の観点から見てみましょう。シャドーITの発生を防ぐために彼らには何かできることがあるのでしょうか?スタッフが自己流で対処するのを阻止するためには、どのような手段が考えられるでしょうか?ちなみに、恥ずかしげもなく申し上げますが、Lokadはその解決策に貢献できるのです。
Joannes Vermorel: 一つのアイデアは、プログラムによるソリューション、すなわちプログラム対応のプラットフォームを導入することです。例えば、Lokadがこのニーズに応える方法の一つは、Lokad自体がプログラムプラットフォームであるという点です。つまり、サプライチェーンの実務者がもし…
Kieran Chandler: Lokadは、ユーザーがレポートやロジック用にカスタムスクリプトを書くことを可能にし、上級のExcelユーザーにも利用しやすくなっています。これにより、企業内のシャドーITの問題にどう対応できるのでしょうか?
Joannes Vermorel: プログラム対応の機能を提供することで、Lokadや同様のプラットフォームは、管理されたIT環境内でチームが独自の拡張機能を構築できるようにします。これにより、保護されていないデバイス上でExcelシートやAccessデータベースを共有するといった安全でない方法に頼るのではなく、しっかりとしたセキュリティ対策が講じられるのです。
Kieran Chandler: では、シャドーITは人間によって引き起こされる現象であることを考えると、完全に撲滅することは可能だと思いますか?
Joannes Vermorel: 私は、シャドーITの背後にある推進力を理解することが鍵だと考えています。企業は常に変化しており、ITシステムは常にある程度遅れを取るものです。IT自体が悪いのではなく、完全に維持管理可能な本番環境レベルのシステムを構築するには時間がかかるのです。まず、シャドーITが存在し続けることを受け入れる必要があり、排除しようとするのではなく、プロセス改善に対する従業員の熱意を活かすべきです。彼らをより管理されたソリューションへと導き、その活動を監視して、紛失したラップトップに保存された暗号化されていない顧客データベースのような大きなミスを防ぐべきです。
Kieran Chandler: つまり、企業はある程度のシャドーITを許容すべきだが、重大なミスを防ぐためにはIT部門による厳重な監督の下で行うべきだということですか?
Joannes Vermorel: その通りです。シャドーITを完全に禁止し、違反者を解雇すると脅すと、人々はその行動を報告しなくなります。むしろ、ITによって監督されるという条件の下で許容する方が、重大なミスを未然に防ぐ上で適切です。
Kieran Chandler: それでは、本日はありがとうございました、Joannes。今週はこれで全てです。ご視聴ありがとうございました。また次回お会いしましょう。では、さようなら。
Joannes Vermorel: ありがとうございました、さようなら。